1. Общие положения

Настоящая Политика конфиденциальности и обработки персональных данных (далее — «Политика») разработана в соответствии с требованиями законодательства Российской Федерации и определяет порядок обработки и защиты персональных данных пациентов медицинского центра "Константа" (далее — «Медицинский центр», «Оператор», «Мы»).

Обработка персональных данных осуществляется в строгом соответствии с:

• Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
• Федеральным законом от 21 ноября 2011 года № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
• Статьей 24 Конституции Российской Федерации;
• Иными нормативными правовыми актами Российской Федерации в области защиты персональных данных.

2. Основные понятия

В настоящей Политике используются следующие термины и определения:

• Персональные данные (ПД) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
• Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
• Конфиденциальность персональных данных — обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;
• Оператор — Общество с ограниченной ответственностью "Афродита", самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
• Субъект персональных данных — физическое лицо, к которому относятся персональные данные (пациент, посетитель сайта, пользователь услуг);
• Согласие на обработку персональных данных — добровольное, конкретное, информированное и сознательное выражение воли субъекта персональных данных в письменной, устной или иной форме, позволяющей подтвердить факт его получения.

3. Категории обрабатываемых персональных данных

Медицинский центр обрабатывает следующие категории персональных данных:

3.1. Основные персональные данные

• Фамилия, имя, отчество (при наличии);
• Дата рождения;
• Место рождения;
• Гражданство;
• Реквизиты документа, удостоверяющего личность (серия, номер, дата выдачи, кем выдан);
• Адрес регистрации по месту жительства и адрес фактического проживания;
• Контактные телефоны (мобильный, домашний, рабочий);
• Адрес электронной почты (email);
• Реквизиты полиса обязательного медицинского страхования (ОМС) или добровольного медицинского страхования (ДМС).

3.2. Специальные категории персональных данных

• Состояние здоровья и установленные диагнозы;
• Результаты медицинских обследований и осмотров;
• Сведения о проведенных медицинских вмешательствах;
• Результаты лабораторных, инструментальных и иных видов исследований;
• Сведения о назначенном лечении и применяемых лекарственных препаратах;
• Информация о ранее перенесенных заболеваниях и оперативных вмешательствах;
• Наследственный и аллергологический анамнез;
• Группа крови и резус-фактор;
• Иные сведения, составляющие врачебную тайну.

3.3. Данные, собираемые автоматически при посещении сайта

• IP-адрес устройства;
• Информация из файлов cookie;
• Тип и версия веб-браузера;
• Тип устройства и разрешение экрана;
• Источник перехода на сайт (реферальная ссылка);
• Язык операционной системы и веб-браузера;
• Посещенные страницы сайта и совершенные действия;
• Время доступа к сайту и продолжительность сессии;
• Географическое местоположение (при разрешении).

4. Цели обработки персональных данных

Обработка персональных данных осуществляется Оператором исключительно в следующих целях:

• Оказание медицинских услуг — диагностика, лечение, профилактика заболеваний, реабилитация, диспансерное наблюдение;
• Ведение медицинской документации — в соответствии с требованиями приказа Министерства здравоохранения Российской Федерации от 15 декабря 2014 года №834н;
• Организация лечебно-диагностического процесса — запись на прием, напоминания о визитах, информирование о результатах анализов;
• Взаимодействие с пациентами — информирование о состоянии здоровья, консультации по вопросам лечения, ответы на обращения;
• Выполнение договорных обязательств — исполнение условий договоров на оказание медицинских услуг;
• Соблюдение требований законодательства — налогового, бухгалтерского, медицинского, в области защиты персональных данных;
• Обработка запросов и обращений — через формы обратной связи на официальном сайте медицинского центра;
• Аналитика и улучшение качества работы — анализ работы сайта, совершенствование сервисов и услуг;
• Информирование о новых услугах и акциях — только при наличии отдельного добровольного согласия субъекта персональных данных;
• Обеспечение безопасности — пациентов, посетителей, персонала и информационных систем медицинского центра.

5. Правовые основания обработки персональных данных

Обработка персональных данных осуществляется Оператором на следующих правовых основаниях:

• Статья 24 Конституции Российской Федерации, гарантирующая право на неприкосновенность частной жизни, личную и семейную тайну;
• Статья 6 Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных»;
• Статья 13 Федерального закона от 21 ноября 2011 года №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
• Письменное согласие субъекта персональных данных на обработку его персональных данных;
• Договор на оказание медицинских услуг, заключенный между пациентом и медицинским центром;
• Необходимость обработки для защиты жизненно важных интересов субъекта персональных данных;
• Осуществление прав и законных интересов Оператора или третьих лиц (при условии ненарушения прав и свобод субъекта персональных данных);
• Выполнение обязанностей, возложенных на Оператора законодательством Российской Федерации.

6. Порядок и условия обработки персональных данных

6.1. Получение согласия на обработку персональных данных

Обработка персональных данных пациента осуществляется только после получения его письменного согласия, которое оформляется при первом обращении в медицинский центр путем подписания соответствующего документа.

При использовании форм обратной связи на официальном сайте медицинского центра пользователь подтверждает свое согласие на обработку персональных данных путем установки соответствующей отметки (чекбокса) и нажатия кнопки отправки формы.

6.2. Сроки хранения персональных данных

Персональные данные хранятся в течение сроков, установленных законодательством Российской Федерации:

• Медицинская документация — 25 лет (в соответствии со статьей 22 Федерального закона №323-ФЗ);
• Данные о заключенных договорах на оказание медицинских услуг — 5 лет с момента исполнения договора (в соответствии с гражданским законодательством);
• Данные, полученные через формы обратной связи на сайте — 3 года с момента последнего взаимодействия с субъектом персональных данных;
• Файлы cookie и аналитические данные — до 1 года с момента последнего посещения сайта;
• Данные для информационных рассылок — до момента отзыва согласия субъектом персональных данных.

6.3. Передача персональных данных третьим лицам

Медицинский центр не передает персональные данные пациентов третьим лицам, за исключением следующих случаев:

• При наличии письменного согласия пациента на такую передачу;
• В рамках системы обязательного медицинского страхования для целей оплаты оказанных медицинских услуг;
• По мотивированным запросам правоохранительных, судебных и иных уполномоченных государственных органов в установленном законодательством порядке;
• Для оказания неотложной медицинской помощи при невозможности получения согласия пациента;
• В случаях, прямо предусмотренных федеральными законами Российской Федерации;
• Страховым медицинским организациям при наличии договора добровольного медицинского страхования.

7. Согласие на обработку персональных данных

7.1. Состав предоставляемого согласия включает:

• Согласие на обработку основных и специальных категорий персональных данных;
• Разрешение на использование персональных данных в указанных в настоящей Политике целях;
• Согласие на передачу персональных данных уполномоченным лицам в пределах, установленных законодательством;
• Разрешение на хранение персональных данных в течение установленных законодательством сроков.

7.2. Порядок отзыва согласия на обработку персональных данных

Субъект персональных данных имеет право отозвать свое согласие на обработку персональных данных, направив письменное заявление одним из следующих способов:

• Почтовым отправлением по адресу: 420087, Республика Татарстан, город Казань, улица Аметьевская магистраль, дом 6;
• Электронной почтой на адрес: Lmgmari@bk.ru;
• Лично в регистратуре медицинского центра.

Обработка персональных данных будет прекращена в течение 30 (тридцати) календарных дней с момента получения Оператором соответствующего заявления. При этом Оператор сохраняет право продолжить обработку персональных данных без согласия субъекта в случаях, предусмотренных пунктами 2-11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона №152-ФЗ.

8. Права субъектов персональных данных

В соответствии со статьей 14 Федерального закона №152-ФЗ субъект персональных данных имеет следующие права:

• Право на получение информации об обработке его персональных данных, включая подтверждение факта обработки, правовые основания и цели обработки, применяемые Оператором способы обработки;
• Право на доступ к своим персональным данным, включая право получать копии обрабатываемых персональных данных, за исключением случаев, предусмотренных федеральным законом;
• Право на уточнение (обновление, изменение) своих персональных данных в случае их неполноты, неточности или устаревания;
• Право на блокирование или уничтожение персональных данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• Право на отзыв согласия на обработку персональных данных в порядке, установленном разделом 7.2 настоящей Политики;
• Право на обжалование действий или бездействия Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке;
• Право на возмещение убытков и/или компенсацию морального вреда в судебном порядке в случае нарушения прав субъекта персональных данных.

9. Меры защиты персональных данных

Оператор принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.

9.1. Организационные меры защиты

• Назначение ответственного за организацию обработки персональных данных;
• Разработка и внедрение локальных нормативных актов по обработке и защите персональных данных;
• Подписание соглашений о конфиденциальности со всеми сотрудниками, имеющими доступ к персональным данным;
• Регулярное обучение сотрудников требованиям законодательства о защите персональных данных;
• Установление правил доступа к персональным данным и системы учета таких обращений;
• Периодический контроль соблюдения требований безопасности при обработке персональных данных.

9.2. Технические меры защиты

• Использование средств криптографической защиты информации при передаче данных;
• Антивирусная защита всех рабочих станций и серверов;
• Системы контроля доступа к помещениям, серверам и базам данных;
• Регулярное резервное копирование данных с хранением копий в защищенном месте;
• Межсетевые экраны (файрволы) и системы обнаружения вторжений;
• Шифрование передаваемых данных по протоколу HTTPS (SSL/TLS);
• Системы мониторинга и аудита доступа к информационным ресурсам.

9.3. Правовые меры защиты

• Строгое соблюдение требований законодательства о медицинской тайне;
• Заключение договоров с третьими лицами о конфиденциальности при необходимости передачи данных;
• Ведение журналов учета обработки персональных данных в соответствии с требованиями законодательства;
• Оформление согласий на обработку персональных данных в письменной форме с соблюдением всех требований законодательства.

10. Ответственность за нарушение конфиденциальности

Лица, виновные в нарушении требований законодательства о персональных данных и медицинской тайне, несут ответственность в соответствии с законодательством Российской Федерации:

• Дисциплинарная ответственность — для сотрудников медицинского центра в соответствии с трудовым законодательством;
• Административная ответственность — по статье 13.11 Кодекса Российской Федерации об административных правонарушениях (штраф для юридических лиц до 75 000 рублей);
• Гражданско-правовая ответственность — возмещение убытков и компенсация морального вреда в соответствии с гражданским законодательством;
• Уголовная ответственность — по статьям 137 (Нарушение неприкосновенности частной жизни) и 140 (Отказ в предоставлении гражданину информации) Уголовного кодекса Российской Федерации.

11. Заключительные положения

Настоящая Политика конфиденциальности является общедоступным документом и подлежит обязательному размещению на официальном сайте медицинского центр "Константа".

Медицинский центр оставляет за собой право вносить изменения в настоящую Политику. Новая редакция Политики вступает в силу с момента ее размещения на официальном сайте, если иное не предусмотрено новой редакцией Политики.

Все споры и разногласия, возникающие в связи с применением настоящей Политики, подлежат разрешению в соответствии с законодательством Российской Федерации по месту нахождения Оператора.

Признание какого-либо положения настоящей Политики недействительным или не имеющим юридической силы не влечет недействительности или отсутствия юридической силы иных положений Политики.